部署 Microsoft Azure Edge 的需求檢查清單

檢查清單對象

此檢查清單適用於從未在其租用戶環境中進行 Horizon Cloud on Microsoft Azure 部署的 Horizon Cloud 客戶帳戶。您可能會聽到此類租用戶環境被稱為全新環境或綠地環境。

在部署 Horizon Cloud 之前，必須執行下面的一些項目。您可以將某些項目延遲到部署完成並且執行之後。

Microsoft Azure 訂閱需求

有關組態限制，請參閱調整 Horizon Cloud Service - next-gen 部署的大小，其中包含使用 VMware 組態上限工具的相關資訊。從 [組態上限] 頁面開始，選取檢視限制、VMware Horizon Cloud Service - next-gen、最新版本以及您要檢視的類別。


☐	支援的 Microsoft Azure 環境 (Azure Commercial) 中的有效 Microsoft Azure 訂閱。如果您要在自己的專用提供者 (Microsoft Azure 訂閱) 中部署 Horizon Edge 應用裝置 (包括 Horizon Edge 閘道和 Unified Access Gateway 執行個體)，請取得另一項有效的 Microsoft Azure 訂閱來部署集區。備註： Horizon Cloud 支援大多數 Microsoft Azure 區域。
☐	每個 Microsoft Azure 訂閱中的有效 Microsoft Azure 管理權限，可讓您使用 Microsoft Azure 入口網站並執行 Horizon Cloud 部署準備步驟。
☐	在每個 Microsoft Azure 訂閱中建立一或多個服務主體，記下訂閱識別碼、目錄識別碼和應用程式識別碼，並將適當的角色指派給訂閱中的每個服務主體。請參閱為 Microsoft Azure 訂閱建立服務主體。若要將自訂角色用於服務主體，請參閱使用自訂角色來登錄 Horizon Cloud 應用程式。備註：建立多個服務主體時，它們將共用訂閱識別碼和目錄識別碼，但每個服務主體都有自己的應用程式識別碼。
☐	決定您要部署的 Microsoft Azure Edge 格式類型。可用選項如下。 Edge 閘道 (VM) = Edge 閘道虛擬機器 Edge 閘道 (VM) 適用於沒有高可用性的小型部署。 Edge 閘道 (AKS) = Edge 閘道 Azure Kubernetes 服務 Edge 閘道 (AKS) 提供高可用性。
☐	若要部署 Edge 閘道 (AKS)，請建立 Microsoft Azure 使用者管理的身分識別。使用 AKS 叢集的 Horizon Edge 需要使用者受管理身分，且這個身分在管理 VNet 的資源群組範圍內具有「網路參與者」角色，以及在 Microsoft Azure 訂閱範圍內具有受管理識別身分操作員角色。請參閱有關管理使用者指派的受管理身分識別的 Microsoft 說明文件。如果您的管理子網路具有路由表，且該路由表的資源群組與 VNet 的資源群組不同，您還必須指派「網路參與者」角色給路由表的資源群組。
☐	登錄 Microsoft Azure 訂閱所需的資源提供者。請參閱確認已在 Microsoft Azure 訂閱中登錄所需的資源提供者。
☐	建立一個自訂角色，以便提供對訂閱中 Azure 計算庫的讀取權限，並將該自訂角色指派給為指定 Horizon Edge 所設定的所有服務主體。
☐	訂閱必須允許建立沒有標籤的資源群組。

Microsoft Azure 容量需求

如果下表代表 Microsoft Azure 容量，則不需要手動安裝。只要訂閱中具有所述的可用容量，部署工具便會自動具現化所述的虛擬機器。


☐	將核心 Horizon Edge 資源部署至該訂閱中所需的 Microsoft Azure 容量。請注意，容量需求會因您部署的 Microsoft Azure Edge 格式而異，亦即 Edge 閘道 (AKS) 還是 Edge 閘道 (虛擬機器)。 Edge 閘道 (AKS) – 升級期間為 4 節點 AKS 叢集和額外節點提供足夠的配額。 Edge 閘道 (AKS) 部署使用 Azure Kubernetes 服務 (AKS) 叢集，該叢集需要使用四個具有某個受支援虛擬機器大小的節點來提供容量。下面列出 Edge 閘道 (AKS) 部署支援的虛擬機器 SKU 大小 (按優先順序遞減排列)。如果您的 Microsoft Azure 訂閱具有至少一個以下虛擬機器 SKU 大小的容量，則接受 Edge 部署。否則，將拒絕 Edge 部署。 Standard_D2s_v3 - 2 vCPU、8GB 記憶體 Standard_D2ds_v5 - 2 vCPU、8GB 記憶體 Standard_D2a_v4 - 2 vCPU、8GB 記憶體在 AKS 叢集的正常運作期間，需要 4 個虛擬機器節點。在升級程序期間，需要使用 1 個額外的節點。 Edge 閘道 (虛擬機器) – 為單一虛擬機器提供足夠的配額。下面列出 Edge 閘道 (虛擬機器) 部署支援的虛擬機器 SKU 大小 (按優先順序遞減排列)。如果您的 Microsoft Azure 訂閱具有至少一個以下虛擬機器 SKU 大小的容量，則接受 Edge 部署。否則，將拒絕 Edge 部署。 Standard_D4s_v3 - 4 個 vCPU、16 GB 記憶體 Standard_D4s_v4 - 4 個 vCPU、16 GB 記憶體 Standard_D4s_v5 - 4 個 vCPU、16 GB 記憶體執行命令以檢查 Microsoft Azure 虛擬機器型號的可用性並檢查區域 CPU 輸出。請參閱檢查 Microsoft Azure 虛擬機器型號的可用性。 Unified Access Gateway 執行個體 - 至少為以下支援大小的 2 倍。預設的建議大小是 Standard_F8s_v2。 Standard_A4_v2 Standard_D8s_v4 Standard_D16s_v4 Standard_D8s_v5 Standard_D16s_v5 Standard_F8s_v2 Standard_F16s_v2 備註： `A4_v2` 虛擬機器型號僅足夠用於概念驗證 (PoC)、試驗，或您知道 Horizon Edge 上不會超過 1,000 個作用中工作階段的較小型環境。在 Horizon Edge 執行個體可供使用後，您在 Microsoft Azure 雲端中的容量還必須能夠容納您在該 App Volumes 執行個體中所建立且已匯入的虛擬機器、映像、集區虛擬機器，以及 Horizon Edge 應用程式擷取虛擬機器。請參閱Image Management System Requirements一節。

網路需求

下列網路需求含有成功部署和執行 Horizon Edge 所需的詳細資料。後面的兩個表格類似，但不同。使用適用於您打算部署的 Microsoft Azure Edge 格式類型的資料表：Edge 閘道 (虛擬機器) 或 Edge 閘道 (AKS)。

Edge 閘道 (虛擬機器): 對於 Edge 閘道 (虛擬機器) 部署，請使用下表。

表 1. Edge 閘道 (虛擬機器) 的網路需求
☐	在您的目標 Microsoft Azure 區域中建立 Microsoft Azure 虛擬網路 (VNet)，且有適當的位址空間可涵蓋所需的子網路。請參閱設定 Microsoft Azure 區域的網路設定。
☐	以下是最低的子網路需求。對於較大的環境，可能需要使用更大的子網路。管理子網路 - 最小值 /26 桌面 (租用戶) 子網路 - 主要 — 最小值 /27，但可以根據桌面和 RDS 伺服器的數量，適當地調整大小。您可以根據需要，新增更多的子網路。 DMZ 子網路 — 對於 Unified Access Gateway 執行個體叢集，最小值為 /27 (內部 Unified Access Gateway 存取類型沒有此需求)。作為必要條件，必須在 VNet 上手動建立子網路。請參閱設定 Microsoft Azure 區域的網路設定。最佳做法是，不要將其他資源連結至子網路。當您選擇使用專用提供者來部署 Horizon 閘道應用裝置 (Horizon Edge 閘道和 Unified Access Gateway) 時，您必須在提供者中建立後端子網路，以便從中部署桌面。
☐	設定 VNet (虛擬網路) DNS 伺服器，指向可解析內部機器名稱和外部名稱的有效 DNS 伺服器。請參閱部署 Horizon Edge 閘道和 Unified Access Gateway 後設定所需的 DNS 記錄。對於內部端點，AD 伺服器就是一個範例。對於外部端點，您用於閘道部署的 VNet 上的輸出網際網路存取，必須使用特定的連接埠和通訊協定來解析和連線到特定 DNS 名稱。在執行部署和進行中的作業時需要此功能。
☐	您用於 Horizon Edge 部署的 VNet 上的輸出網際網路存取，必須使用特定的連接埠和通訊協定來解析和連線到特定 DNS 名稱。在執行部署和進行中的作業時需要此功能。如需 DNS 名稱和連接埠的清單，請參閱讓適當的目的地 URL 可供連線以在 Microsoft Azure 環境中部署 Horizon Edge 閘道。
☐	選用。在執行 Horizon Cloud 環境的部署和進行中作業期間使用的 VNet 中進行輸出網際網路存取時可能需要的 Proxy 伺服器資訊。
☐	選用。已設定 Microsoft Azure VPN/Express Route (當您希望在 VNet 與內部部署公司網路之間建立網路連線時)。

Edge 閘道 (AKS): 針對 Edge 閘道 (AKS) 部署使用下表。這些需求還包括支援使用 AKS 叢集來設定 Horizon Edge 閘道。使用 AKS 叢集來設定 Horizon Edge 閘道，可提供更易於調整的解決方案。

表 2. Edge 閘道 (AKS) 的網路需求
☐	在您的目標 Microsoft Azure 區域中建立 Microsoft Azure 虛擬網路 (VNet)，且有適當的位址空間可涵蓋所需的子網路。請參閱設定 Microsoft Azure 區域的網路設定。
☐	以下是最低的子網路需求。對於較大的環境，可能需要使用更大的子網路。管理子網路 - 最小值 /26 如果要部署 Edge 閘道 (AKS)，請為管理子網路設定 NAT 閘道，因為使用 AKS 叢集的 Horizon Edge 需要使用 NAT 閘道進行輸出連線。桌面 (租用戶) 子網路 - 主要 — 最小值 /27，但可以根據桌面和 RDS 伺服器的數量，適當地調整大小。您可以根據需要，新增更多的子網路。 DMZ 子網路 — 對於 Unified Access Gateway 執行個體叢集，最小值為 /27 (內部 Unified Access Gateway 存取類型沒有此需求)。作為必要條件，必須在 VNet 上手動建立子網路。請參閱設定 Microsoft Azure 區域的網路設定。最佳做法是，請勿將其他資源連結至子網路。當您選擇使用專用提供者來部署 Horizon 閘道應用裝置 (Horizon Edge 閘道和 Unified Access Gateway) 時，您必須在提供者中建立後端子網路，以便從中部署桌面。
☐	如果要部署 Edge 閘道 (AKS)，且您在建立 Edge 時，選取 [NAT 閘道] 作為叢集輸出類型值，請在管理子網路上設定 NAT 閘道，以便為 Horizon Edge 閘道啟用輸出連線。如果在建立 Edge 時，您選取 [使用者定義的路由] 作為叢集輸出類型值，請在管理子網路上設定路由表，並使其預設路由 0.0.0.0/0 指向類型為 VirtualAppliance 或 VirtualNetworkGateway 的下一個躍點。
☐	收集以下 CIDR IP 位址範圍；您需要使用這些範圍，以在部署期間設定 Horizon Edge 閘道。備註：請確定這些範圍不會與環境中使用的其他範圍衝突。服務 CIDR — 最小值 /27 網繭 CIDR — 最小值 /21 如果部署 Edge 閘道 (AKS)，若要成功部署 AKS 叢集，您必須符合下列 Microsoft Azure 需求。在使用 Horizon Universal Console 來部署 Horizon Edge 時，請確定管理子網路 VNet 的服務 CIDR、網繭 CIDR 和位址空間不會與以下 IP 範圍衝突： 169.254.0.0/16 172.30.0.0/16 172.31.0.0/16 192.0.2.0/24
☐	設定 VNet (虛擬網路) DNS 伺服器，指向可解析內部機器名稱和外部名稱的有效 DNS 伺服器。請參閱部署 Horizon Edge 閘道和 Unified Access Gateway 後設定所需的 DNS 記錄。對於內部端點，AD 伺服器就是一個範例。對於外部端點，您用於閘道部署的 VNet 上的輸出網際網路存取，必須使用特定的連接埠和通訊協定來解析和連線到特定 DNS 名稱。在執行部署和進行中的作業時需要此功能。
☐	您用於 Horizon Edge 部署的 VNet 上的輸出網際網路存取，必須使用特定的連接埠和通訊協定來解析和連線到特定 DNS 名稱。在執行部署和進行中的作業時需要此功能。如需 DNS 名稱和連接埠的清單，請參閱讓適當的目的地 URL 可供連線以在 Microsoft Azure 環境中部署 Horizon Edge 閘道。
☐	選用。在執行 Horizon Cloud 環境的部署和進行中作業期間使用的 VNet 中進行輸出網際網路存取時可能需要的 Proxy 伺服器資訊。
☐	選用。已設定 Microsoft Azure VPN/Express Route (當您希望在 VNet 與內部部署公司網路之間建立網路連線時)。
☐	如果要部署 Edge 閘道 (AKS)，對於使用 AKS 叢集的 Horizon Edge，如果用於 Horizon Edge 部署的 VNet 具有自訂 DNS 伺服器，您可以將 Microsoft Azure DNS IP 位址 168.63.129.16 新增為用於外部名稱解析的 DNS 轉寄站。

連接埠和通訊協定需求


☐	對於 Horizon Cloud 環境的部署和進行中作業，需要特定的連接埠和通訊協定。請參閱Microsoft Azure 中 Horizon Cloud 部署的連接埠和通訊協定需求。

Unified Access Gateway 需求

讓 Unified Access Gateway 虛擬機器叢集與集區產生關聯，從而讓用戶端能夠與該集區中的虛擬機器建立受信任的 HTML Access 連線。

您可以使用 Horizon Universal Console，將 Horizon Cloud 設定成使用 Unified Access Gateway。該類型的組態需要以下項目。


☐	所有組態類型都需要對 .horizon.vmware.com 進行輸出網際網路存取。當 Unified Access Gateway 存取類型為允許透過公司網路的內部存取時，可以將使用者定義的路由或 NAT 閘道套用至 [管理子網路] 以允許輸出流量。當使用 DMZ 網路對 Unified Access Gateway 存取類型進行外部設定時，必須在 DMZ 網路上設定對 .horizon.vmware.com 的外部存取。
☐	Unified Access Gateway 組態需要 FQDN。
☐	符合 FQDN 且採用 PEM 格式的一或多個 Unified Access Gateway 憑證。備註：如果您為此目的提供的一或多個憑證使用參考了特定 DNS 名稱的 CRL (憑證撤銷清單) 或 OCSP (線上憑證狀態通訊協定) 設定，則必須確保在 VNet 上對那些 DNS 名稱的輸出網際網路存取是可供解析且可連線。在 Unified Access Gateway 組態中設定您提供的憑證期間， Unified Access Gateway 軟體將會連線至這些 DNS 名稱，以檢查憑證的撤銷狀態。如果無法存取這些 DNS 名稱，部署將失敗。這些名稱高度依存於您用來取得憑證的 CA，這不在 VMware 的控制範圍內。

瞭解使用者身分識別和機器身分識別

Horizon Cloud Service - next-gen 處理身分識別的方式與其他環境有所不同。在 Horizon Cloud Service - next-gen 中，服務會區分使用者身分識別和機器身分識別，且在用戶端與遠端桌面或應用程式之間建立安全連線時，會同時依賴這兩種身分識別。

備註：如果您更熟悉使用單一身分識別提供者來驗證使用者身分識別和機器身分識別的環境 (例如第一代 Horizon Cloud 環境或 Horizon 8 內部部署環境)，您可能會對使用者身分識別與機器身分識別之間的這種區分感到陌生。

在 Horizon Cloud Service - next-gen 中，您所設定的身分識別組態必須包含兩個身分識別提供者，一個用來驗證使用者身分識別，另一個用來驗證機器身分識別。

使用者身分識別: Horizon Cloud Service - next-gen 會要求您登錄使用者身分識別提供者。服務會使用此身分識別提供者，來驗證嘗試存取遠端桌面和應用程式的用戶端使用者。
機器身分識別: Horizon Cloud Service - next-gen 也要求您登錄機器身分識別提供者。服務會使用此身分識別提供者，來建立提供遠端桌面和應用程式的虛擬機器的機器身分識別。
服務會透過機器身分識別提供者，將遠端應用程式的遠端桌面和虛擬機器來源加入用戶端使用者有權存取的受信任網路網域。

支援的身分識別組態

Horizon Cloud Service - next-gen 會要求您登錄身分識別組態，且其中含有使用者身分識別提供者和機器身分識別提供者。根據組態中包含的特定身分識別提供者，功能可能會有所不同。

Horizon Cloud Service - next-gen 支援以下身分識別組態。

表 3. Horizon Cloud Service - next-gen 支援的身分識別組態
身分識別組態	使用者身分識別提供者	機器身分識別提供者	功能考量事項
A	Microsoft Entra ID	Active Directory	支援對遠端桌面和應用程式的 SSO
B	Microsoft Entra ID	Microsoft Entra ID	不支援對遠端桌面和應用程式進行單一登入 (SSO)
C	Workspace ONE Access	Active Directory	支援對遠端桌面和應用程式的 SSO 支援與 Workspace ONE 整合

此頁面的下一節說明每個支援的使用者身分識別提供者和機器身分識別提供者的詳細需求。

使用者身分識別需求

本節說明您選擇要在身分識別組態中使用的使用者身分識別提供者的需求。Horizon Cloud Service - next-gen 支援以 Microsoft Entra ID 和 Workspace ONE Access 作為使用者身分識別的提供者。

除了本節所述的需求，還請參閱支援的身分識別組態，以瞭解有關功能考量事項，以及可與每個使用者身分識別提供者搭配使用的機器身分識別提供者的相關資訊。如需 Horizon Cloud Service - next-gen 如何管理身分識別的概觀，請參閱瞭解使用者身分識別和機器身分識別。

Microsoft Entra ID


☐	當 Microsoft Entra ID 為您的使用者身分識別提供者時，具有全域管理員權限的使用者必須執行下列動作。核准要求的權限。代表整個組織表示同意。

Workspace ONE Access


☐	如果 Workspace ONE Access Workspace ONE Access 是您的使用者身分識別提供者，具有管理員權限的使用者必須執行以下動作。核准要求的權限。代表整個組織表示同意。

機器身分識別需求

本節說明您選擇要在身分識別組態中使用的機器身分識別提供者的需求。Horizon Cloud Service - next-gen 支援以 Microsoft Entra ID 和 Active Directory 作為機器身分識別的提供者。

除了本節所述的需求，還請參閱支援的身分識別組態，以瞭解有關功能考量事項，以及可與每個機器身分識別提供者搭配使用的使用者身分識別提供者的相關資訊。如需 Horizon Cloud Service - next-gen 如何管理身分識別的概觀，請參閱瞭解使用者身分識別和機器身分識別。

Microsoft Entra ID


☐	若要允許刪除集區或虛擬機器，服務主體應具有從 Microsoft Entra ID 中刪除裝置項目的權限。這些權限如下所示： `Scope: https://graph.microsoft.com/` `Permission : Device.ReadWrite.All` `Read and write devices` `Admin Consent : Yes` 若要授與權限，請導覽至下列位置：訂閱 -> Azure Active Directory -> 應用程式登錄 -> 選取需要授與權限的應用程式 -> API 權限 -> 選取 Microsoft GRAPH -> 選取 Device.ReadWriteAll
☐	在 Microsoft Entra ID 中設定 RBAC。此組態可確保只有具有虛擬機器管理員登入或虛擬機器使用者登入角色的使用者或使用者群組，才能登入其權利。

Active Directory


☐	Active Directory 對 Horizon Edge 閘道執行個體和桌面子網路具有直視性的伺服器。例如：透過 VPN/快速路由連線的內部部署 Active Directory 伺服器位於 Microsoft Azure 中的 Active Directory 伺服器
☐	如果您計劃使用 LDAPS 來連接 Active Directory，請針對 Active Directory 網域，收集其 PEM 編碼的根 CA 憑證和中繼 CA 憑證。當您使用 Horizon Universal Console 來設定 Active Directory 網域時，會提示您上傳 PEM 編碼的根 CA 憑證和中繼 CA 憑證。
☐	支援的 Microsoft Windows Active Directory 網域服務 (AD DS) 網域功能性層級。 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 支援的 Microsoft Windows Active Directory 網域服務 (AD DS) 作業系統版本。 Windows Server 2019 Windows Server 2016 Windows Server 2012 R
☐	網域繫結帳戶具有 sAMAccountName 屬性的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)。sAMAccountName 屬性必須小於或等於 20 個字元，且不得包含下列任何字元： `"/ \ [ ] : ; \| = , + * ? < >` 帳戶必須具有下列權限：列出內容讀取全部內容讀取權限讀取 tokenGroupsGlobalAndUniversal (由讀取全部內容隱含表示) 將帳戶密碼設定為永不到期，以確保可持續存取並登入 Horizon Cloud 環境。如果您熟悉 Horizon 內部部署供應項目，則上述權限即為 Horizon 內部部署供應項目的次要認證帳戶所需的一組相同權限。為網域繫結帳戶授與立即可用的預設讀取存取相關權限，此權限通常會在 Microsoft Active Directory 部署中授與已驗證的使用者。但是，如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限，您必須要求這些 AD 管理員保留驗證使用者標準預設值，以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。參考：建立 Active Directory 網域繫結帳戶和網域加入帳戶
☐	輔助網域繫結帳戶必須不同於主要網域繫結帳戶。UI 將防止在這兩個欄位中重複使用相同的帳戶。具有 sAMAccountName 屬性的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)。sAMAccountName 屬性必須小於或等於 20 個字元，且不得包含下列任何字元：`"/ \ [ ] : ; \| = , + * ? < >` 帳戶必須具有下列權限：列出內容讀取全部內容讀取權限讀取 tokenGroupsGlobalAndUniversal (由讀取全部內容隱含表示) 將帳戶密碼設定為永不到期，以確保可持續存取並登入 Horizon Cloud 環境。如果您熟悉 Horizon 內部部署供應項目，則上述權限即為 Horizon 內部部署供應項目的次要認證帳戶所需的一組相同權限。為網域繫結帳戶授與立即可用的預設讀取存取相關權限，此權限通常會在 Microsoft Active Directory 部署中授與已驗證的使用者。但是，如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限，您必須要求這些 AD 管理員保留驗證使用者標準預設值，以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。
☐	網域加入帳戶 Active Directory 網域加入帳戶，系統可以使用該帳戶執行 Sysprep 作業並將虛擬電腦加入網域。通常是專為此目的而建立的新帳戶。(一個網域加入使用者帳戶) 帳戶必須具有 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元，且不得包含下列任何字元：`"/ \ [ ] : ; \| = , + * ? < >` 目前不支援在帳戶的使用者名稱中使用空格。將帳戶密碼設定為永不到期，以確保 Horizon Cloud 能夠持續執行 Sysprep 作業並將虛擬電腦加入網域。此帳戶需要下列 Active Directory 權限，且這些權限適用於電腦 OU 或適用於您將輸入到主控台 [網域加入] UI 中的 OU。讀取全部內容 - 僅限此物件建立電腦物件 - 此物件和所有子系物件刪除電腦物件 - 此物件和所有子系物件寫入全部內容 - 子系電腦物件重設密碼 - 子系電腦物件對於計劃用於集區的目標組織單位 (OU)，此帳戶也需要在該目標組織單位 (OU) 的所有子系物件上具有名為「寫入全部內容」的 Active Directory 權限。如需有關建立和重複使用網域加入帳戶的其他詳細資料，請參閱建立 Active Directory 網域繫結帳戶和網域加入帳戶。在 Microsoft Active Directory 中，當您建立新的 OU 時，系統可能會自動設定 `Prevent Accidental Deletion` 屬性，而將 `Deny` 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此，如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶，則在新建立的 OU 中，Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 `Deny`，因此針對新增的 OU，您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 `Deny` 權限，才能在 Horizon Cloud 主控台中使用網域加入帳戶。
☐	選用輔助網域加入帳戶 Active Directory 網域加入帳戶，系統可以使用該帳戶執行 Sysprep 作業並將虛擬電腦加入網域。通常是專為此目的而建立的新帳戶。(一個網域加入使用者帳戶) 帳戶必須具有 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元，且不得包含下列任何字元：`"/ \ [ ] : ; \| = , + * ? < >` 目前不支援在帳戶的使用者名稱中使用空格。將帳戶密碼設定為永不到期，以確保 Horizon Cloud 能夠持續執行 Sysprep 作業並將虛擬電腦加入網域。此帳戶需要下列 Active Directory 權限，且這些權限適用於電腦 OU 或適用於您將輸入到主控台 [網域加入] UI 中的 OU。讀取全部內容 - 僅限此物件建立電腦物件 - 此物件和所有子系物件刪除電腦物件 - 此物件和所有子系物件寫入全部內容 - 子系電腦物件重設密碼 - 子系電腦物件對於計劃用於集區的目標組織單位 (OU)，此帳戶也需要在該目標組織單位 (OU) 的所有子系物件上具有名為「寫入全部內容」的 Active Directory 權限。在 Microsoft Active Directory 中，當您建立新的 OU 時，系統可能會自動設定 `Prevent Accidental Deletion` 屬性，而將 `Deny` 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此，如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶，則在新建立的 OU 中，Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 `Deny`，因此針對新增的 OU，您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 `Deny` 權限，才能在 Horizon Cloud 主控台中使用網域加入帳戶。
☐	虛擬桌面和 RDS 工作階段型桌面和/或已發佈應用程式適用的一或多個 Active Directory 組織單位 (OU)。在 Microsoft Active Directory 中，當您建立新的 OU 時，系統可能會自動設定 `Prevent Accidental Deletion` 屬性，而將 `Deny` 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此，如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶，則在新建立的 OU 中，Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 `Deny`，因此針對新增的 OU，您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 `Deny` 權限，才能在 Horizon Cloud 主控台中使用網域加入帳戶。

Image Management System Requirements

您的 Microsoft Azure 訂閱必須符合以下需求，具體取決於您要在部署的 Horizon Edge 中佈建的映像類型。


☐	映像的基礎。一或多個支援的 Microsoft Azure 虛擬機器組態。支援 Microsoft Azure 第 1 代和第 2 代虛擬機器。請確定已為要用於基礎虛擬機器的型號提供足夠的配額。以下型號類型為預設和建議的類型。非 GPU： Standard_DS2_v2 已啟用 GPU： Standard_NV12s_v3 除了列出的非 GPU 和已啟用 GPU 類型之外，還支援其他型號類型，但這些型號類型未必經過驗證。如果您選取其中一個型號，請確定訂閱中有足夠的配額。

集區虛擬機器需求

您的 Microsoft Azure 訂閱必須符合下列需求，具體取決於您要從部署的 Horizon Edge 中佈建的集區虛擬機器的類型。


☐	為集區中的虛擬機器選取型號 — Microsoft Azure 區域中任何可用的 Microsoft Azure 虛擬機器組態 (與 Horizon Cloud 桌面作業不相容的除外)。在您選取虛擬機器型號時，請考量以下詳細資料。要選取已啟用 GPU 的模型類型，還是選取非 GPU 模型類型，具體取決於建立映像期間選取的虛擬機器。若要建立多重工作階段集區，請選取使用多重工作階段作業系統所建立的映像。對於生產環境，規模測試建議使用至少具有 2 個 CPU 或更大的型號。請參閱適用於 Horizon Cloud Service - next-gen 的 Microsoft Azure 虛擬機器類型和大小 (89090)，以瞭解不同 Microsoft Azure 虛擬機器類型和大小與 VMware Horizon Cloud Service - next-gen 之間的相容性。集區中支援 Microsoft Azure 第 1 代和第 2 代虛擬機器。

Horizon Client 和 Horizon HTML Access (Web 用戶端) 需求


☐	若要允許使用者存取 Horizon Cloud 環境中的授權資源，請確定他們使用的是下列其中一個支援的用戶端。 Horizon Client 使用者可以使用以下 Horizon Client 版本： Windows 版 Horizon Client 2111 或更新版本 Mac 版 Horizon Client 2111 或更新版本 Linux 版 Horizon Client 2206 或更新版本 Android 版 Horizon Client 2303 或更新版本 Horizon Client for iOS 2303 或更新版本 Chrome 版 Horizon Client 2306 或更新版本 Horizon HTML Access 使用者可以連線至 Horizon Cloud 環境中內建的 HTML Access 版本。